Schlagwort-Archive: Firewall

DC hinter einer Firewall die zweite

Hi,

da mich einige Bekannte auf das Thema DC hinter einer Firewall angesprochen haben, möchte ich noch etwas genauer darauf eingehen.

Der erste Punkt war, dass Netbios traffic nicht geroutet werden sollte. An sich ist das richtig und wenn man aufgrund seines Netzwerkaufbaus darauf verzichten kann, spricht auch nichts dagegen. Leider benötigen auch in modernen Netzwerken einige Anwendungen (z. B. Exchange) NetBios Dienste daher wird das blocken dieser Ports i. d. R. schwer…

Der zweite Punkt war die Frage „Warum eine Firewall im Lan?“. Die Antwort auf diese Frage ist recht einfach. Ein großer Teil von Angriffen erfolgt aus dem eigenen Netz heraus (Stichwort unzufriedener Mitarbeiter oder Virus / Trojaner). Man sollte daher wichtige Anwendungen sowie essentielle Infrastruktur Komponenten möglichst umfassend schützen. Dies erreicht man neben einem aktuellen Patchlevel, einem umfangreiches Logging und Monitoring auch durch die Abschottung nicht benötigter Ports durch eine Firewall. Des Weiteren ermöglicht eine Firewall eine einfachere Erkennung von Angriffen und bietet zudem Abwehrmechanismen.

Zum Schluß noch der Hinweis, dass es sich bei dem von mir vorgestellten Szenario nicht um ein WAN Aufbau handelt. Die DMZ sollte direkt im eigenen Lan stehen (siehe Visio Chart).

interne_dmz.gif

DC hinter einer Firewall

Hi,

um seine Infrastruktur gegen Angreifer innerhalb des eigenen Netzwerkes zu schützen, ist es sinnvoll die Server hinter einer internen DMZ aufzubauen. Leider ist es immer recht anstrengend herauszufinden, welche Ports für welchen Dienst / Anwendung benötigt werden. Insbesondere Domaincontroller (DC) machen einem das Leben bei dieser Aufgabenstellung zur Hölle. Daher nachfolgend alle Ports die man auf der (internen) Firewall freischalten muß um einen DC hinter einer Firewall betreiben zu können:

DNS: Port 53 TCP & UDP
Kerberos: Port 88 TCP & UDP
LDAP: Port 389 TCP & UDP
LDAP-SSL: Port 636 TCP & UDP
Global Catalog: Port 3268 TCP
SMB: Port 445 TCP & UDP
RPC: Port 135
TCP & UDP
NetBIOS Server: Port 137 TCP & UDP
NetBIOS Data
: Port TCP & UDP
NTP: Port 123 TCP
& UDP

Mein erster Blogeintrag

Hallo!

Mein erster richtiger Blogeintrag. Mal sehen, wie ich mich schlage…

Ich habe heute meinen Artikel auf www.ServerHowTo.de zum Thema Firewall Szenarien etwas überarbeitet.

ServerHowTo: Firewall Szenarien

Der Artikel zeigt verschiedene Möglichkeiten auf, wie man den Übergang vom LAN zum Internet aufbauen kann. Anhand von einigen Beispielen werden die jeweiligen Vor- und Nachteile des Aufbaus erörtert. Viel Spaß beim Lesen!